近期博客关闭了一段时间,原因是被人上传非法文件。之前在zblog官方社区反映,官方网站不知道什么原因挂了一天,之后得到回复是“空间原因导致的…”。所以只好自己解决了。
描述:
将文件伪装成“1.asp;2.jpg”然后上传,利用windows2003系统的解析漏洞,访问“http://……/1.asp;2.jpg” 即可执行代码。
影响版本:zblog 91204 新版本没有测试,貌似也存在该问题。
临时解决办法:
function/c_system_lib.asp文件:
strFileName=Request.QueryString(“filename”)==》strFileName=Replace(Request.QueryString(“filename”)&””,”;”,””)